et af de overordnede spørgsmål vedrørende de forskellige ISO-certificeringer er den involverede tidslinje . Svaret på dette spørgsmål er et, der ikke altid er let at sluge, både for sikkerhedschefer og øverste ledelse. Den tid, penge og kræfter, der kræves, kan variere afhængigt af den organisation, der søger certificering.
Bemærk: For fordelene ved ISO 27001 certificering, se vores indlæg om fordelene ved ISO 27001 certificering.
ofte anvender organisationer ekstern bistand i ISO-certificeringsprocessen. Når du søger efter hjælp fra tredjepart, såsom konsulenter i ISO-certificering, er det vigtigt, at du beder om deres forventede projekttidslinje til ISO-certificeringsprocessen. Hvis tredjeparts svar på disse spørgsmål er en nøjagtig tidsramme eller en kort periode, er de enten uerfarne i processen med ISO-certificering eller ikke ærlige over for dig. (Her har vi inkluderet et kort eksempel på en præsentation, der fremhæver processen med implementering af ISO 27001 )
den tid, det tager at opnå ISO-certificering, afhænger af forskellige faktorer, hvilket gør det vanskeligt at bestemme, hvor lang tid ISO-certificeringsprocessen kræver for hver organisation. Efter vores erfaring i vores egen ISO-certificeringsproces og gennem at hjælpe andre organisationer, vi har bestemt, at følgende faktorer er grundlæggende i udviklingen af et generelt skøn over tidslinjen for ISO-certificering:
- ressource til rådighed til brug i ISO-certificeringsprocessen
- organisationens samlede størrelse (eller afdeling)
- nuværende tilstand af organisationens ledelsessystem
ressourcer til rådighed til ISO-certificeringsprocessen
selvom det i betragtning af vigtigheden og fordelene ved at være ISO-certificeret kan det vise sig at være udfordrende at få de nødvendige ressourcer til at at øge effektiviteten og sænke den tid, der er nødvendig for at opnå ISO-certificering. En af de første (og potentielt vigtigste) opgaver, der skal udføres, er at få støtte fra topledelsen. Ledelsesteams vil være portvagterne til ressourcerne, såsom hvor mange penge og arbejdskraft der vil blive afsat til certificeringsprocessen. I en perfekt verden ville du få ubegrænset adgang til ressourcer efter behov. I virkeligheden er mennesker og økonomisk fleksibilitet muligvis ikke tilgængelige, når det er nødvendigt til ISO-certificeringsprocessen.
dette kan illustreres med en simpel ligning:
5 medarbejdere, der arbejder 8 timer om dagen, eller 40 menneskelige timer om dagen, der er afsat til projektet, eller 1 kvalitetschef, der afsætter 2 timer om dagen til certificeringsprocessen
vi ville ikke gøre os selv retfærdighed, hvis vi ikke nævnte, hvordan Risikostyringsprogrammer og værktøjer kan reducere den tid, det tager at gennemføre certificeringsprocessen.
organisationens samlede størrelse, der søger ISO-certificering
organisationens størrelse kan have stor indflydelse på den tid, det tager at implementere en ISO-standard og blive ISO-certificeret. Mindre organisation kan have mere fleksibilitet og evne til at fokusere indsatsen på ISO-certificeringsprocessen samt mindre infrastruktur, der kræver ændring, hvilket reducerer den samlede tidslinje for ISO-certificeringsprocessen. En mindre organisation kan dog have større begrænsninger med hensyn til de ressourcer, der er tilgængelige for at forpligte sig til processen.
på den anden side af mønten kan større organisationer stå over for problemer som flaskehalse under den bureaukratiske proces, enorme infrastrukturer, budgetbegrænsninger og selvfølgelig begrænsede ressourcer til at afsætte til ISO-certificeringsprocessen.
Styringssystemets nuværende tilstand
styringssystemets tilstand kan i høj grad reducere eller øge ISO-certificeringstiden. Organisationer, der allerede har et styringssystem på plads, vil opleve mindre “voksende smerter” i processen med ISO-certificering. Organisationer, der starter fra bunden med, har flere systemer, kontroller og processer at implementere.
for at opnå en forståelse af styringssystemets aktuelle tilstand kan der udføres en Gap-analyse. En Gap-analyse er den proces, hvor en organisation bestemmer sin nuværende status i dag, og hvor den ønsker at være i fremtiden, og dermed definerer “kløften” mellem den aktuelle tilstand og måltilstanden. Gap-analysen kan ses som en tjekliste, der giver ledelsen en indikation af den tid, der kan forventes for ISO-certificeringen at tage.